Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona el 0-day anunciado recientemente y otras 23 vulnerabilidades que afectan al popular reproductor. La mayoría de los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Detalle de la actualización
- Todo parece indicar que con objeto de incluir la solución al 0-day que ya comentamos hace unos días, Adobe ha adelantado la publicación de su habitual boletín mensual para Flash, esperado para la semana que viene. Adobe confirma que existen informes de que una vulnerabilidad de confusión de tipos (con CVE-2016-1019) se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 20.0.0.306 y anteriores.
- Todos los problemas que se corrigen en este boletín (APSB16-10) permitirían la ejecución de código arbitrario aprovechando cinco vulnerabilidades de uso de memoria después de liberarla, 13 de corrupción de memoria, un desbordamiento de búfer, una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos y dos de confusión de tipos.
- Esta actualización también resuelve un salto de restricciones de seguridad y se endurece una mitigación contra ataques JIT (Just In Time) que puedan utilizarse para evitar mitigaciones de aleatorización de distribución de la memoria.
- Los CVE asignados son: CVE-2016-1006 y CVE-2016-1011 al CVE-2016-1033.
- Las vulnerabilidades afectan a las versiones de Adobe Flash Player 21.0.0.197 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release 18.0.0.333 (y anteriores) para Windows y Macintosh; y Adobe Flash Player 11.2.202.577 (y anteriores) para Linux.
Adobe ha publicado las siguientes
versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y
se encuentran disponibles para su descarga desde la página oficial:
- Flash Player Desktop Runtime 21.0.0.213
- Flash Player Extended Support Release 18.0.0.343
- Flash Player para Linux 11.2.202.616
- Igualmente se ha publicado la versión 21.0.0.213 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
- Adobe recomienda a los usuarios de Adobe Flash
Player Desktop Runtime para Windows y Macintosh actualizar a través del
sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash
- Los usuarios de Adobe Flash Player Extended Support
Release deben actualizar desde http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html
- Para actualizar Adobe Flash Player para Linux desde http://www.adobe.com/go/getflash
Más información
- Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb16-10.html
- una-al-dia (06/04/2016) Nuevo 0-day en Adobe Flash
Player http://unaaldia.hispasec.com/2016/04/nuevo-0-day-en-adobe-flash-player.html
- Security Advisory for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsa16-01.html
